Kun vietämme viisi vuotta GDPR:n voimaantulosta, onko merkittävien sakkojen puute aiheuttanut sen, että jotkin toimitusjohtajat eivät ota sitä niin vakavasti? Dan Raywood tarkastelee, eikö GDPR vastannut hypeä.
Toukokuuta 2018 edeltävänä aikana GDPR:n odotukset olivat, että tämä olisi merkittävä muutos sääntöjen noudattamisen täytäntöönpanossa. Tietosuojauudistusta koskevissa ensimmäisissä keskusteluissa oli selvää, että täytäntöönpanon taso tulee olemaan merkittävämpi kuin 500,000 2011 punnan enimmäisrahoitus, jota Information Commissioner's Office (ICO) oli alkanut määrätä vuonna XNUMX.
Itse asiassa, GDPR todettiin, että "erityisen vakavista rikkomuksista sakkokehys voi olla enintään 20 miljoonaa euroa tai yrityksen osalta enintään neljä prosenttia edellisen tilikauden maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi." Myös lievemmistä rikkomuksista 83 §:n 4 momentissa säädetään sakkoja, jotka ovat enintään 10 miljoonaa euroa tai yrityksen osalta enintään kaksi prosenttia edellisen tilikauden kokonaisliikevaihdosta sen mukaan, kumpi on suurempi.
Aika pelottavia juttuja, vai mitä? Nämä mahdolliset luvut saivat paljon julkisuutta ennen toukokuuta 2018. A Varonis-kysely Vuodesta 2017 lähtien 75 % 500 haastatellusta päätöksentekijästä oli samaa mieltä siitä, että määrätyt sakot voivat lamauttaa joitain organisaatioita, ja 44 % uskoi, että yritykset voisivat nostaa hintoja suojautuakseen rangaistuksista.
GDPR- sakot – ei sitä mitä odotettiin
Kuitenkin, suurimmat ICO- sakot osoittavat, että miljoonan punnan luvut on ylitetty vain muutaman kerran, ja TikTokin 12.7 miljoonaa puntaa huhtikuussa 2023 on nyt yksi suurimmista sakkoista.
Olemmeko pettyneet, jos odotimme GDPR sakot olla niin ankaria ja yritysten pelkäämään niitä? Suurin sakko määrättiin kuitenkin British Airwaysille vuonna 2019, yhteensä £ 183 euroa määritettiin, kun 500,000 XNUMX asiakkaan henkilötiedot varastettiin heidän verkkosivuiltaan ja mobiilisovelluksestaan. Kuitenkin hieman yli vuotta myöhemmin ja valituksen jälkeen tämä summa vähennettiin 20 miljoonaan puntaa. Ei vähäpätöinen määrä, mutta sellainen, joka olisi vahingoittanut ICO:n näkemystä säätelijänä.
Ottavatko yritykset GDPR:n vakavasti ottaen huomioon, että odotetut raskaat sakot eivät ole toteutuneet ja merkittäviä sakkoja on alennettu? Jonathan Armstrong, Corderyn kumppani, uskoo, että toimitusjohtajat eivät ota GDPR:ää vakavasti näistä syistä. "Luulen, että kysymys oli siitä, että GDPR:a nostettiin vuonna 2018, kun monet pätemättömät neuvojat kertoivat organisaatioille, että tulvaportit avautuvat ja heille määrätään valtavia sakkoja", hän sanoo.
”Kun näin ei tapahtunut vuonna 2018, monien organisaatioiden johto rentoutui, luuli kaiken olevan hypeä ja lakkasi kiinnittämästä huomiota tietosuojaongelmiin. Tiedän, että jotkut organisaatiot peruuttivat GDPR-hankkeiden rahoituksen tämän seurauksena."
Armstrong sanoo GDPR:n käyttöönotossa; hän piti todennäköisenä, ettei aluksi määrättäisi merkittäviä sakkoja, "osittain siksi, että jotkin tietosuojaviranomaiset antoivat pidennetyn ajan uuden lain hyväksymiselle, ja osittain siksi, että suurten tutkimusten valmistuminen kestää jonkin aikaa. päästä tilanteeseen, jossa tietosuojaviranomainen voi määrätä sakon."
Mitä asiantuntijat todella ajattelevat GDPR:n täytäntöönpanosta?
Saadaksemme käsityksen GDPR:n vaikutuksista teimme kyselyn National Association of Data Protection Officersille (NADPO) jäsenille heidän ajatuksiaan näistä väitteistä. Kun kysyttiin, oliko heidän mielestään GDPR täyttänyt vuotta 2018 edeltäneen hypetyksensä, 58 kerätystä vastauksesta 62 prosenttia vastasi, ettei näin ollut.
NADPO puheenjohtaja ja tietosuojavastaava Mishcon de Reyassa, Jon Baines, on samaa mieltä siitä, että hype varmasti nosti tietosuojan profiilia, mutta sanoi, että se johti myös ylireagointiin joillakin alueilla ja jonkin verran "rekyyliin".
"Jotkut johtavat johtajat ja hallituksen jäsenet ovat ymmärrettävästi kyseenalaistaneet, olivatko ponnistelut vaatimustenmukaisuuden saavuttamiseksi tarpeellisia (tai ovatko ne edelleen) tarpeellisia", hän sanoo. "Paras vastaus tällaiseen haasteeseen on se, että hyvä noudattaminen on lähes aina linjassa hyvän liiketoimintatavan kanssa – sen pitäisi johtaa useimmissa tapauksissa win-winiin."
Baines kommentoi myös, että vaikka peräkkäiset komissaarit ovat kertoneet meille, että täytäntöönpano ei ole vain sakkoja, ja nykyinen komissaari John Edwards on osoittanut olevansa erityisen kiinnostunut "nuhtelista", jotka ovat eräänlaista "pehmeää täytäntöönpanoa", hän katsoo, että siitä voisi olla paljon enemmän hyötyä. koostuu täytäntöönpanoilmoituksista – jotka ovat virallisia oikeudellisia huomautuksia, jotka vaativat organisaatioita ryhtymään tiettyihin toimiin (tai pidättymään niistä) ja joissa noudattamatta jättäminen on mahdollisesti rikos.
"Luulen, että näiden valtuuksien lisääminen saisi neuvotteluhuoneen huomion, samalla kun vältetään rankaisevien (tai arvottomien) sakkojen tarve."
Tulevaisuudessa kysyimme NADPO:n jäseniltä, mitä ICO:n tulee tehdä tehdäkseen GDPR:stä sen pelottavan tulevaisuuden. NADPO:n jäsenet jättivät erilaisia kommentteja sanoen, että ICO:n "täytyy tukea soveltamistaan ja valvoa rikkomuksia", tarjota "selkeää, johdonmukaista, alakohtaista ohjeistusta" ja "määrää seuraamuksia organisaatioille, jotka resursoivat sen tietosuojatoimintoja".
Myös ICO:ta kehotettiin olemaan aktiivisempi täytäntöönpanossa, koska yritysten kouluttaminen on välttämätöntä, "mutta kun täytäntöönpanolla olisi suurempi vaikutus pitkällä aikavälillä, niiltä puuttuu tällä hetkellä uskottavuus." Toisessa kommentissa vaadittiin ICO:ta käsittelemään valituksia kaikesta "eikä vain suurista tietomurroista" ja käyttämään valtuuksia (ei välttämättä sakkoja, kuten yritysten tietojen käsittelyn estämistä.
Lisäksi on pitkään pohdittu, mihin rahat menevät, kun sakko maksetaan. Yksi henkilö vaati ilmoitusta siitä, kuinka paljon rahaa rangaistus olisi ollut, mutta vaati sitten, että organisaation on käytettävä ne rahat vikojen korjaamiseen, "joten organisaation ei odoteta tekevän parannuksia samalla, kun se kärsii vähemmän resursseista, mutta uhka joku tulee sisään ja "ottaisi rahasi pois" (joten et voi käyttää niitä haluamallasi tavalla).
ICO:n rooli
Jonkin sisällä viime puhe IAPP Data Protection Intensive UK -tapahtumassa tietokomissaari John Edwards sanoi, että on ratkaisevan tärkeää, että sääntelijä osoittaa, että tietosuojan noudattamatta jättäminen ei ole kannattavaa. "Toimistoni suhtautuu aina negatiivisesti asiakkaiden tietojen väärinkäyttämiseen kaupallisen edun saamiseksi muihin nähden, ja pyrimme määräämään sakkoja, jotka ovat oikeassa suhteessa laiminlyönnistä saatuihin laiminlyönteihin."
2021-22 vuosikatsaus ICO sanoi, että se keskittyy tukemaan organisaatioita täyttämään lakivaatimukset. ”Kohdistamme sääntelytoimemme alueille, joilla huonoilla tietosuojakäytännöillä on merkittävin vaikutus ihmisiin. Käytämme täytäntöönpanovaltuuksiamme vain silloin, kun sitä vaaditaan, ja aina oikeasuhteisella tavalla."
Otimme yhteyttä ICO:hon saadaksemme suoran vastauksen, mutta emme olleet saaneet vastausta julkaisuhetkellä.
Katse GDPR:n seuraaviin 5 vuoteen
Armstrong sanoo, että GDPR-sakkojen määrä on noussut merkittävästi viimeisen vuoden aikana, "niin että sakkoja on nyt yli 2000 2.6 ja sakkoja on määrätty yli XNUMX miljardin euron edestä". Hän sanoo myös, että tietosuojaviranomaiset käyttävät voimiaan luovemmin – esimerkiksi Replika AI:n ja ChatGPT:n käsittelyn keskeyttämisellä.
"Kyse ei siis ole vain sakosta, ja nämä jäädytykset voivat myös olla liiketoimintakriittisiä - näet kuinka OpenAI:n toimitusjohtaja luopui kaikesta keskustellakseen Italian DPA:n kanssa jäädytyksen jälkeen. Joten uskon, että monien organisaatioiden vaikeus on se, että he katsovat menneisyyttä nykyisyyden sijaan."
GDPR:n käyttöönotto kesti kauan, ja se antoi yrityksille mahdollisuuden saada kotinsa kuntoon tämän tietosuoja-asetuksen mukaisesti. Jos toimitusjohtajat ottavat tämän vakavasti, ehkä vähemmän sensaatiomaisia otsikoita olisi hyvä asia, kuten myös enemmän painotusta epäonnistuneiden yritysten tukemiseen ja mahdollistamiseen.
